摘要：\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E如下图所示，是用来解码存储在该图像中的PE文件的算法：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F57edadd1f4854c36b4d4d3b0b8cc8704\" img_width=\"640\" img_height=\"434\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也。\u003C\u002Fp\u003E\u003Cp\u003ETalos团队还发现，该用户在帖子中留下的Skype账号在2016年也曾被一个昵称为“Daniel”的人使用，当时他在一篇与创建Facebook网络钓鱼页面相关的博客下发表了评论：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F49a2683a5137441faecf440dac3075e7\" img_width=\"559\" img_height=\"640\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也。

"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F81a404d471c242ffae08ba58300bb608\" img_width=\"640\" img_height=\"360\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E最近以来，思科Talos团队发现了大量到目前为止仍正在持续进行中的恶意软件分发活动，这些活动被指与一个名为“SWEED”的黑客组织有关。在分发的恶意软件中，有不少早已声名在外，比如Formbook、Lokibot和Agent Tesla等。\u003C\u002Fp\u003E\u003Cp\u003E根据Talos团队此前的研究，SWEED至少在2017年就已经开始运作了，主要是使用信息窃取工具和远程访问木马（RAT）来攻击目标。\u003C\u002Fp\u003E\u003Cp\u003E自2017年以来，SWEED的大部分活动都保持了一致性——借助带有恶意附件的鱼叉式网络钓鱼电子邮件分发恶意软件。另一方面，虽然恶意附件在类型上多种多样，但大多都旨在分发Agent Tesla（一种信息窃取工具，出现于2014年，甚至更早）。\u003C\u002Fp\u003E\u003Cp\u003E在这篇文章中，我们将回顾SWEED这些年来的部分主要活动，并揭秘SWEED在这些活动中所使用的策略、技术和程序（TTP）。\u003C\u002Fp\u003E\u003Ch1\u003E2017年：隐写术（Steganography）\u003C\u002Fh1\u003E\u003Cp\u003ETalos团队最早发现的SWEED活动之一可以追溯到2017年。在这起活动中，SWEED将dropper打包在了ZIP压缩文件中，然后作为电子邮件附件发送。\u003C\u002Fp\u003E\u003Cp\u003E这些附件大多具有类似于“Java_Updater.zip”或“P-O of june 2017.zip”这样的文件名，如下图所示：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002F47bb03292bca4bbbb590d25259d4cb56\" img_width=\"640\" img_height=\"459\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003EZIP压缩文件包含有Agent Tesla的一个打包版本，打包器利用了隐写术来隐藏和解码一个.NET可执行文件，而这个.NET可执行文件则使用了相同的技术来检索作为最终payload的Agent Tesla。如下图所示，是存储在资源中的文件：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F7f6c2ad2146640c8b27173aa3ffb1894\" img_width=\"640\" img_height=\"459\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E如下图所示，是用来解码存储在该图像中的PE文件的算法：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F57edadd1f4854c36b4d4d3b0b8cc8704\" img_width=\"640\" img_height=\"434\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E解码后的二进制文件存储在数组中。\u003C\u002Fp\u003E\u003Ch1\u003E2018年1月：Java dropper\u003C\u002Fh1\u003E\u003Cp\u003E在2018年初，Talos团队观察到SWEED开始利用基于Java的dropper。\u003C\u002Fp\u003E\u003Cp\u003E与之前的活动类似，JAR压缩文件以附件的形式被添加在电子邮件中，具有类似于“Order_2018.jar”这样的文件名。\u003C\u002Fp\u003E\u003Cp\u003EJAR文件首先会收集有关受感染系统的信息，然后下载Agent Tesla的另一个打包版本。\u003C\u002Fp\u003E\u003Ch1\u003E2018年4月：Office漏洞利用（CVE-2017-8759）\u003C\u002Fh1\u003E\u003Cp\u003E2018年4月，SWEED开始利用在之前被公开披露的Office漏洞。在大量的电子邮件附件中，有一类附件引起了Talos团队的注意，因为它是一个PowerPoint文档（PPXS），包含在其中一张幻灯片中的代码能够触发CVE-2017-8759的漏洞利用（CVE-2017-8759是存在于微软.NET framework中的一个远程代码执行漏洞）。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff923bcc13c3c44bfa02962b6bd44c7e1\" img_width=\"640\" img_height=\"80\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E分析表明，“chuks.png”实际上并不是一个图像文件。相反，它是一个XML中的Soap定义，如图所示：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fb5789a6b07ef4ebb979aba1ee87de9af\" img_width=\"640\" img_height=\"360\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E这段代码的作用是解码一个网址（由攻击者控制的Web服务器地址），并下载托管在其上的一个PE32文件，最终生成的可执行文件依旧是打包的Agent Tesla。\u003C\u002Fp\u003E\u003Ch1\u003E2018年5月：Office漏洞利用（CVE-2017-11882）\u003C\u002Fh1\u003E\u003Cp\u003E2018年5月，SWEED开始利用Microsoft Office中的另一个漏洞：CVE-2017-11882，这是存在于Microsoft Office公式编辑器中的一个远程代码执行漏洞。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F5a2ab743d5024f5f9aa15bfe077b1f4e\" img_width=\"640\" img_height=\"284\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E如下图所示，恶意文档看起来像是一张发票。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F050a045976fb4dcaaead64d969739dc7\" img_width=\"640\" img_height=\"479\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E与此前的活动一样，恶意文档的目的仍然是下载并执行打包的Agent Tesla。\u003C\u002Fp\u003E\u003Ch1\u003E2019：Office宏和AutoIt dropper\u003C\u002Fh1\u003E\u003Cp\u003E从2019年开始，SWEED开始利用Office宏。与此前的活动一样，他们仍利用鱼叉式网络钓鱼电子邮件和恶意附件来分发恶意软件。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F67ef257bd8c14475857a333fa44f5fbd\" img_width=\"640\" img_height=\"556\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E附件中的XLS文件包含一段经过混淆处理的VBA宏代码，能够使用WMI调用执行一个PowerShell脚本。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F2a8c35b6c0ea42af9c72621ef22a37b2\" img_width=\"640\" img_height=\"97\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003EPowerShell脚本负责执行某些检查，然后下载并执行另一个可执行文件。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fa86d6886858b43f9bab1f21bead1ee1b\" img_width=\"640\" img_height=\"96\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E下载的二进制文件是一个使用AutoIT编译的脚本。该脚本包含了大量的垃圾代码，旨在使分析变得更加困难和耗时。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff394657918874c91a4739eecfc2c3fa4\" img_width=\"640\" img_height=\"217\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E正如预期的那样，最终的payload仍旧是Agent Tesla。\u003C\u002Fp\u003E\u003Ch1\u003ESWEED攻击目标分布\u003C\u002Fh1\u003E\u003Cp\u003E自2017年以来，SWEED进行了大量的攻击活动，目标遍布全球，涵盖美国、俄罗斯、中国、新加坡、印度、巴基斯坦、沙特、韩国、伊朗等近50个国家。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc4f739c8b2d54d6ea72e498ec422b370\" img_width=\"640\" img_height=\"315\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E 从被攻击者所处的行业来看，SWEED似乎更倾向于制造业和物流行业。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F50cb3d90c5224f9786e974092d26505f\" img_width=\"640\" img_height=\"292\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003ESWEED的真实身份\u003C\u002Fh1\u003E\u003Cp\u003E基于“SWEED”这个名称，Talos团队在HackForums（知名安全论坛）上锁定了一个可疑用户。在发布的很多帖子中，该用户都留下了自己的Skype（一款即时通讯软件）账号——“sweed.XXX”。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F777b1fb923e64beba0222123585d99f6\" img_width=\"640\" img_height=\"385\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E就在2018年1月活动开始前的几个月，该用户在HackForums上公然发帖寻求Java crypter。众所周知，Java crypter有助于恶意文件绕过杀毒软件的检测，因为其能够加密恶意payload的内容。\u003C\u002Fp\u003E\u003Cp\u003ETalos团队还发现，该用户在帖子中留下的Skype账号在2016年也曾被一个昵称为“Daniel”的人使用，当时他在一篇与创建Facebook网络钓鱼页面相关的博客下发表了评论：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F49a2683a5137441faecf440dac3075e7\" img_width=\"559\" img_height=\"640\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E此外，这个Skype账号还在2015年被一个昵称为“XXX. Daniel”的人使用过。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F0f231ac592594e5cab59803beb94d9db\" img_width=\"625\" img_height=\"111\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E以此为线索，Talos团队最终发现了一个与之相关的LinkedIn账户。种种迹象表明，此人极有可能位于尼日利亚，并且是SWEED组织的核心成员。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F62416b2b6bba402586b7ea4a81f5b54c\" img_width=\"640\" img_height=\"379\" alt=\"攻击目标遍布全球，黑客组织“SWEED”究竟何许人也？\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E结论\u003C\u002Fh1\u003E\u003Cp\u003ESWEED至今已经活跃了至少3年的时间，目前的攻击目标主要指向了全球的中小企业。\u003C\u002Fp\u003E\u003Cp\u003E从其所使用的TTP来看，SWEED应该算是一个相对不那么专业的黑客组织，比如总是使用被公开披露的漏洞，以及在黑客论坛上公开出售的信息窃取工具和RAT病毒（如Pony、Formbook、UnknownRAT、Agent Tesla）。\u003C\u002Fp\u003E\u003Cp\u003E不过，Talos团队预计SWEED将在今后继续运作，因此建议大家仍需继续做好安全防护工作。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6714856192125960716